Rootkit.Win32.Fisp.a infekuje sektor startowy dysku twardego i instaluje swój kod pod postacią zaszyfrowanego sterownika. Szkodliwy program przejmuje kontrolę natychmiast po włączeniu komputera - jeszcze przed załadowaniem się systemu operacyjnego.

Reklama

W trakcie uruchamiania systemu bootkit przechwytuje jedną z jego funkcji, co pozwala mu podmienić sterownik fips.sys swoim własnym kodem. Warto wspomnieć, że sterownik fips.sys nie jest wymagany do poprawnej pracy systemu operacyjnego i z tego powodu użytkownik nie zauważy żadnych objawów infekcji komputera.

Przy użyciu mechanizmu wbudowanego w system Windows bootkit przechwytuje wszystkie uruchamiane procesy i szuka w nich następujących tekstów charakterystycznych dla programów antywirusowych:

• Beike
• Beijing Rising Information Technology
• AVG Technologies
• Trend Micro
• BITDEFENDER LLC
• Symantec Corporation
• Kaspersky Lab
• ESET, spol
• Beijing Jiangmin
• Kingsoft Software
• 360.cn
• Keniu Network Technology (Beijing) Co
• Qizhi Software (beijing) Co











Reklama

Po wykryciu jednego z tych tekstów szkodnik modyfikuje uruchamiany proces, w wyniku czego niektóre aplikacje antywirusowe mogą funkcjonować niepoprawnie. Po zakończeniu instalacji bootkit wysyła do cyberprzestępcy przez internet szereg danych dotyczących zainfekowanego komputera, w tym numer wersji systemu operacyjnego, adres IP oraz adres MAC.

Dodatkową funkcją szkodnika jest instalowanie w systemie narzędzia, które pobiera kolejne niebezpieczne programy (Trojan-Dropper.Win32.Vedio.dgs oraz Trojan-GameThief.Win32.OnLineGames.boas). Trojany te kradną, między innymi, dane dotyczące kont wykorzystywanych w grach online. Szczegóły techniczne dotyczące nowego zagrożenia można znaleźć w Encyklopedii Wirusów VirusList.pl, prowadzonej przez Kaspersky Lab.